你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
治理、风险和符合性
作为总体设计的一部分,确定可用资源、财务、人力和时间的投资优先级。 对这些资源的约束也会影响整个组织的安全性实现。 若要实现适当的安全性 ROI,组织需要首先了解并定义安全优先级。
治理:如何对组织的安全性进行监视、审核和报告? 在组织内设计和实现安全控制仅仅是开始。 组织如何知晓工作实际上是否有效? 是不是正在改进? 有新要求吗? 有强制报告吗? 就像合规性一样,还有一些外部的行业、政府或法规标准需要考虑。
风险:组织在试图保护身份信息、知识产权 (IP)、财务信息时,面临什么类型的风险? 谁可能对这些信息感兴趣或者谁可以在这些信息被盗后加以利用,包括内外部的无意或恶意的威胁? 在风险方面,一个常被忘记但非常重要的考虑因素是解决灾难恢复和业务连续性问题。
合规性:有没有特定的行业、政府或法规要求对组织的安全控制措施必须符合的标准作出规定或提出建议? 此类标准、组织、控制和法规例如:ISO27001、NIST、PCI-DSS。
组织作为一个集体,它的作用是在生命周期内管理组织的安全标准:
定义:基于内部因素(业务要求、风险、资产评估)和外部因素(基准、监管标准、威胁环境)为操作、技术和配置设置组织策略。
改进:持续改进这些标准,使它们逐渐达到理想状态,从而确保不断降低风险。
维持:通过实施符合组织标准的审核和监视,确保安全态势不会轻易随时间下滑。
设置安全最佳做法投资的优先级
在生成云计划时,最好主动将安全最佳做法完全应用于所有系统,但对于大多数企业组织而言,这并不现实。 业务目标、项目约束和其他因素通常使组织需要平衡安全风险与其他风险,并在任何指定时间应用部分最佳做法。
建议尽早应用尽可能多的最佳做法,然后在完善安全计划的过程中包含审核、优先事项及主动应用的云资源最佳做法,从而逐渐查漏补缺。 我们建议在考虑优先级时评估下列注意事项:
高业务影响和高度公开的系统:包括含直接内在价值的系统以及为攻击者提供路径的系统。 有关详细信息,请参阅确定业务关键应用程序并分类。
非常容易实现缓解措施:通过设置最佳做法的优先级来确定快速致胜方案,组织可以快速执行这些方案,因为你已拥有实现操作(例如,实现 Web 应用防火墙 (WAF) 来保护旧应用程序)所需的技能、工具和知识。 请注意,不要只使用(或过度使用)这种短期优先方法。 这样做会妨碍计划的发展并使存在严重风险的期限延长,从而使你面临的风险增加。
Microsoft 已提供了一些已排列优先级的安全计划列表,可帮助组织在我们的环境中和各客户的环境中根据我们在威胁和缓解计划方面的经验开始做出的这些决策。 请参阅 Microsoft CISO 研讨会的模块 4a。
清单
你在合规性和治理方面考虑了哪些注意事项?
- 为工作负载创建登陆区域。 基础结构必须提供相应的控制,并且可在每个部署中重复使用。
- 通过 Azure 策略强制创建和删除服务及其配置。
- 通过谨慎实现根管理组可以跨所有订阅应用策略、权限和标记,从而确保企业范围内的一致性。
- 了解可用于审核的法规要求和操作数据。
- 持续监视并评估工作负载的合规性。 定期进行证明以避免罚款。
- 查看并应用 Azure 建议。
- 修正基本漏洞,使攻击者的成本居高不下。
在本节中
按照这些问题来更深入地评估工作负载。
| 评估 | 说明 |
|---|---|
| 此工作负载是否有任何法规要求? | 了解所有法规要求。 检查 Microsoft 信任中心,了解安全性、隐私和合规性方面的最新信息、新闻和最佳做法。 |
| 组织是否为此工作负载使用登陆区域? | 请考虑在将要部署工作负载的基础结构上实施安全控制。 |
| 是否具有分段策略? | 如何对职能和团队进行分段的参考模型和策略。 |
| 是否使用管理组作为分段策略的一部分? | 使用管理组一致有效地管理多个订阅的资源的策略。 |
| 你对 Azure 基础结构访问实施了哪些安全控制? | 有关在配置严重影响帐户(如管理员)时缩小风险范围和缩短风险时间的指导。 |
Azure 安全基准
Azure 安全基准包含一系列具有重要影响的安全建议,可用于帮助保护在 Azure 中使用的服务:
本部分的问题与以下控制措施的问题一致:
参考体系结构
下面是一些与治理相关的参考体系结构:
后续步骤
通过标识管理对用户、合作伙伴、客户、应用程序、服务和其他实体进行身份验证并授予权限,从而提供安全保障。
相关链接
返回到主要文章:安全性